PR
要件9 カード会員データへの物理的アクセスを制限すること

 要件9の入退室管理・監視,バックアップ媒体の移送などについて解説する。

9.5 バックアップの媒体は安全な場所に保管する。例えば代替またはバックアップ施設のようなオフサイト施設、または商業保管施設がより望ましい。

 書類,記録,電子データなどのバックアップを同一のサイトに保管していると,火災や地震によって記録が消失する恐れがある。そうした事態を防ぐため,オフサイト施設や商業保管施設を検討することが推奨されている。この場合バックアップサイトへの移送時のセキュリティが問題となるが,それについては要件9.7で触れられている。

 入退室の紙ログ(スキャナーで電子化されたものなども含む)や電子ログは,最低3カ月の保管が必要となる。法律の規定や年次の監査に対応するために,それ以上の保管期間を要する場合も多くある。各ログの一覧とそれぞれの保管期間を整理しておくべきである。

 保管期間満了時の対応についても定めておく必要がある。例えば「保管期間は最低1年,年度末の固定資産廃棄時に1年を経過した記録に対して,部門長の承認を得て廃棄する」などといった方法で,廃棄の作業が滞ることのないように配慮する必要がある場合もある(カード会員情報そのものの保管期限後の取り扱いは,要件9.10で規定されている)。「IFLA図書館資料の予防的保存対策の原則」などを参考にすると,磁気テープや磁気ディスク(CD,DVDなど)を温度,湿度を適した保管状態に保った場合の保管期間の目途は,磁気ディスクで20年,磁気テープで30年程度と言われている。一般事務所での保管する場合には,もっと短くなるということである。

 10年を超えるような電子的な長期間保管物の場合には,媒体の可読性確保(再生機器の確保,記録媒体のコピーなど)の検討も必要だ。バックアップに関しては,盗難,耐火,地震対策やオフサイト施設に保管することによる消失を防ぐ必要がある。特にオフサイト施設に保管することを決定した場合には,このオフサイト施設に対して,耐火対策などの十分な確認を行うとともに,廃棄対象物の識別が困難になることも想定されるため,廃棄の手順と確認には注意を要する。

9.6 カード会員データが記録されたすべての紙媒体および電子媒体(コンピュータ、電子媒体、ネットワーク・通信ハードウェア、電気通信回線、紙のレシート、紙のレポート、ファックスを含む)を、物理的に保護する。

 カード会員データを物理的に保護することを要求している項目である。ここで下記のようなことがないか,確認しておこう。合致するものがあれば,そこにカード会員データ保護の見直しポイントがあるかもしれない。

【紙媒体】
・放置されているファックス・印刷などの出力物がある(重要情報の流出防止)
・何週間も使用していないバインダーが机に出たままになっている(書類管理における施錠管理の不徹底)

【電子媒体】
・何が入っているか分からないフロッピー・ディスクやCD-ROMがある(重要情報管理の不徹底,故意でない重要情報持ち出しの危険性)
・CD-ROMは,オフィス・スペースなどの共有スペースで破壊している(一般事務室に重要データが持ち込まれている可能性がある。重要情報は,重要情報を取り扱う室内で破壊することが望ましい)

【入退室】
・重要な部屋は,人がいるので業務時間は施錠されていない(人がいない営業時間は,どのように対応されているか)
・重要な部屋の窓ガラスは透明である(内部でのファシリティ管理を徹底しても,外からのぞき見られる可能性がある)
・至急の入室権限変更に速やかに対応できる(権限変更において,事後申請が多い可能性がある)

9.7 カード会員データが記録された、あらゆる種類の媒体の、内外への配送を厳格に管理する。 9.7.1 機密情報を含むことがわかるよう、媒体を分類する。 9.7.2 媒体を送付する際は、正確な追跡が可能な配送機関またはその他の手段を使用する。

 機密情報は,第三者からみて機密情報と分かる必要はない。内部関係者や搬出者,搬入者間で認識できればよい。追跡可能な配送方法とは,大手の運送会社などが提供しているトレース・サービスやICタグなどを用いる方法などである。ICタグの場合には,社外に出た場合にアクセス・ポイントがないので,追跡できないなどといったことを考慮して導入の範囲を決定する必要がある。

9.8 安全なエリアの外へ媒体を持ち出す場合(特に媒体を個人に配布する場合)は、どのようなものであれすべて管理権限者が必ず承認する。

 この項目は,カード会員データが含まれていることを前提にしていた要件9.7と異なり,カード会員データが記録されているか否かが問われていない。重要データを勝手に持ち出されないようにすることが一番だが,情報の盗難を防ぐこと,業務上情報を物理的に移動させなければならない場合とのバランスを取った運用をすることが必要である。PCI DSSでは,カード会員データが含まれていようといまいと管理権限者の承認を必須の要求事項としている。この項目に対処するために,いくつか前提がある。

・個人所有のUSBメモリーなどを持ち込まない。
・持ち出された媒体の返却状況を確認する。
・持ち出し時に媒体の中身を確認する。
・管理権限者を明確にする。

9.9 カード会員データが記録された媒体の保管とアクセスを、厳格に管理する。
9.9.1 すべての媒体の在庫を適切に管理し、安全に保管する。
9.10 カード会員データが記録された媒体は、業務上または法律上不必要になった場合、破壊する。

 保管,管理に関しては,カード会員データが納められたときにラベリングなどを施し,管理対象であることを識別し,台帳などで一元管理する。その上で,物理的対策(要件9.6)が施された保管場所に保管することが必要である。廃棄に関しては,入退室関連の記録などは,要件9.4が該当し,要件9.10では,カード会員データそのものが記録された媒体が対象となっている。業務上不要となるか法律上不要となった場合には,カード会員データが保管されていた媒体は,再現不可能(紙であればクロスカット裁断,消却など。電子的な記録の場合には,破壊,消磁など)な方法で廃棄される必要がある。

表7●関連製品
分野 メーカー/ベンダー 製品/サービス
キャビネット 内田洋行 SECURAGE
セキュリティゲート 岡村製作所 セキュリティゲート
共連れ防止 オプテックス Accurance OV-101
岡村製作所 共連れ防止ゲート

池嶋 透
ビジネスアシュアランス / ネットワンシステムズ セキュリティ事業推進本部 コンサルティング部 第4チーム
某社認証局運用を経て,2008年2月,ネットワンシステムズ入社。前職では,ポリシー策定、秘密鍵管理、顧客管理、プロジェクト管理を担当。現在はビジネスアシュアランス立ち上げ設立に従事。